Sesjonskapring er en urettmessig overtakelse av en innlogget økt for en bruker i en nettjeneste.
Faktaboks
- Også kjent som
-
øktkapring, økttyveri, sesjonsstjeling, engelsk session hijacking, session theft
Angriperen kan etter å ha utført en sesjonskapring utføre handlinger som om angriperen skulle vært brukeren, så lenge sesjonen er gyldig. En sesjon ugyldiggjøres etter en fastsatt tidsperiode, lang tid som inaktiv eller når brukeren logger ut av tjenesten.
Mulighetene for angriperen, og konsekvensene for brukeren, vil være de samme som ved kontokapring, men teknikken krever ikke kjennskap til brukerens passord. I tillegg vil sesjonskapring som regel ha et kortere tidsvindu der handlinger kan utføres.
Den enkleste formen for sesjonskapring er å fysisk benytte enheter der brukeren alt er innlogget. Tekniske former for sesjonskapring innebærer å få tak i informasjonskapselen som inneholder identifikatoren til den innloggede sesjonen fra brukerens maskin. Dette kan blant annet gjøres med skadevare eller sosial manipulering.
Et enkelt tiltak som kan begrense konsekvensene av sesjonskapring, er å logge ut av tjenester så snart man er ferdig med å benytte dem.
Kommentarer
Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.
Du må være logget inn for å kommentere.